Una campaña en curso que se infiltra en sitios web legítimos con inyecciones de JavaScript maliciosas para promover las plataformas de juego en idioma chino se ha disparado para comprometer aproximadamente 150,000 sitios hasta la fecha.
«El actor de amenaza ha renovado ligeramente su interfaz, pero aún depende de una inyección de iframe para mostrar una superposición de pantalla completa en el navegador del visitante», dijo el analista de seguridad C/Side Anand en un nuevo análisis.
Al momento de escribir, hay más de 135,800 sitios que contienen la carga útil de JavaScript, por estadísticas de PublicWww.
Según lo documentado por la compañía de seguridad del sitio web el mes pasado, la campaña implica infectar sitios web con JavaScript malicioso diseñado para secuestrar la ventana del navegador del usuario para redirigir a los visitantes del sitio a páginas que promueven las plataformas de juego.
Se ha encontrado que las redirecciones ocurren a través de JavaScript alojado en cinco dominios diferentes (por ejemplo, «Zuizhongyj (.) Com») que, a su vez, sirven a la carga útil principal responsable de realizar las redirecciones.
C/Side dijo que también observó otra variante de la campaña que implica scripts inyectantes y elementos de iframe en HTML que se hace pasar por sitios web de apuestas legítimas como BET365 haciendo uso de logotipos y marcas oficiales.
El objetivo final es servir una superposición de pantalla completa utilizando CSS que hace que la página de destino de juego maliciosa se muestre al visitar uno de los sitios infectados en lugar del contenido web real.
«Este ataque demuestra cómo los actores de amenaza se adaptan constantemente, aumentando su alcance y el uso de nuevas capas de ofuscación», dijo Anand. «Los ataques del lado del cliente como estos están en aumento, con más y más hallazgos todos los días».
La divulgación se produce cuando GoDaddy reveló detalles de una operación de malware de larga duración denominada Dollyway World Domination que ha comprometido más de 20,000 sitios web a nivel mundial desde 2016. A partir de febrero de 2025, más de 10,000 sitios únicos de WordPress han sido víctimas del esquema.
«La iteración actual (…) se dirige principalmente a los visitantes de sitios de WordPress infectados a través de scripts de redirección inyectados que emplean un nodo de red distribuida de Sistema de dirección de tráfico (TDS) alojados en sitios web comprometidos», dijo el investigador de seguridad Denis Sinegubko.
«Estos scripts redirigen a los visitantes del sitio a varias páginas de estafas a través de redes de corredores de tráfico asociadas con Vextrio, una de las redes de afiliados cibercriminales más grandes que aprovechan las técnicas DNS sofisticadas, los sistemas de distribución de tráfico y los algoritmos de generación de dominios para ofrecer malware y estafas en las redes globales».
Los ataques comienzan a inyectar un script generado dinámicamente en el sitio de WordPress, redirigiendo a los visitantes a los enlaces Vextrio o Lospollos. También se dice que la actividad ha utilizado redes publicitarias como Propellerads para monetizar el tráfico de sitios comprometidos.
Las inyecciones maliciosas en el lado del servidor se facilitan a través del código PHP insertado en complementos activos, al tiempo que toman medidas para deshabilitar los complementos de seguridad, eliminar los usuarios de administración maliciosos y sifon las credenciales de administración legítimas para cumplir con sus objetivos.
Desde entonces, Godaddy ha revelado que el TDS Dollyway aprovecha una red distribuida de sitios de WordPress comprometidos como TDS y nodos de comando y control (C2), alcanzando 9-10 millones de impresiones de páginas mensuales. Además, se ha encontrado que las URL de redirección de Vextrio se obtienen de la red de corredores de tráfico de Lospolles.
Alrededor de noviembre de 2024, se dice que los operadores de Dollyway eliminaron varios de sus servidores C2/TDS, con el script TDS obteniendo las URL de redirección de un canal de telegrama llamado Tráfico.
«La interrupción de la relación de Dollyway con Lospollos marca un punto de inflexión significativo en esta campaña de larga data», señaló SineGubko. «Si bien los operadores han demostrado una notable adaptabilidad al pasar rápidamente a los métodos alternativos de monetización de tráfico, los cambios rápidos en la infraestructura y las interrupciones parciales sugieren cierto nivel de impacto operativo».